• IT-Karriere:
  • Services:

Project-Zero-Fristen: Google gewährt 14-Tage-Bonus für besondere Sicherheitslücken

Zum Beseitigen von Sicherheitslücken in ihren Produkten sind den Entwicklern 90 Tage manchmal nicht genug. Google nimmt sich dieses Problems nun mit seinem Project Zero an: In besonderen Fällen gibt es eine kleine Pufferzone. Mitunter werden auch bestimmte Wochentage berücksichtigt.

Artikel veröffentlicht am ,
Softwarehersteller bekommen unter Umständen mehr Zeit zum Beseitigen von Sicherheitslücken.
Softwarehersteller bekommen unter Umständen mehr Zeit zum Beseitigen von Sicherheitslücken. (Bild: Google Project Zero)

Google wird seine Regeln zur Veröffentlichung von Sicherheitslücken anpassen, wie das Unternehmen in dem Blog von Project Zero ankündigt. Für seine bisherige Politik hat Google einige Kritik einstecken müssen. So veröffentlichte Google beispielsweise vollständige Details zu gefährlichen Sicherheitslücken in OS X und in Windows. Die entdeckten Sicherheitslücken hatte Google den beiden Unternehmen gemeldet und ihnen 90 Tage Zeit gelassen, um sie zu beseitigen.

Stellenmarkt
  1. Hallesche Krankenversicherung a. G., Stuttgart
  2. Bundesamt für Migration und Flüchtlinge, Nürnberg

In der Zwischenzeit hätten auch andere Entdecker - sollte es sie gegeben haben - die Sicherheitslücken ausnutzen können. Die Windows-Sicherheitslücke gehörte zu einer Klasse der unangenehmsten Fehler für Anwender. Es ließen sich nämlich höhere Rechte erschleichen, was das Sicherheitskonzept vieler Unternehmen und Anwender außer Betrieb setzt, die korrekterweise nur mit Standardrechten arbeiten. Die Sicherheitslücke in Apples Betriebssystem war ähnlich gravierend, da mit einem Angriff Root-Rechte erschlichen werden konnten. Die Details zu beiden Problemen hielt Googles Project Zero für 90 Tage geheim.

Responsible Disclosure setzt Entwickler unter Druck

Mit dieser sogenannten Responsible Disclosure soll den betroffenen Unternehmen Zeit zur Entwicklung eines funktionstüchtigen Patches gegeben werden. Sie soll sie aber gleichzeitig aufgrund der drohenden Veröffentlichung zum Handeln zwingen. Dieser Zwang hilft der Produktsicherheit, wie Project Zero nach Untersuchung der eigenen Statistiken meint. Microsoft beschwerte sich daraufhin über die Sturheit von Google, da das Unternehmen die Sicherheitspatches eigentlich erst einen Monat später veröffentlichen wollte. Microsoft bat zumindest um zusätzliche zwei Tage, die jedoch nicht gewährt wurden.

In Zukunft will Google solche Fristverlängerungen mit verschiedenen Optionen ermöglichen. Eine dieser Optionen ist leicht nachvollziehbar. Fällt die Frist auf ein Wochenende oder einen Feiertag in den USA, wird Google die Sicherheitslücke erst am nächsten Werktag publizieren. Die zweite Option setzt allerdings voraus, dass der Hersteller der betroffenen Software mit Google kommuniziert. Ist ein Patch beispielsweise bereits für einen kommenden Patchday geplant, der innerhalb von 14 Tagen nach Ablauf der eigentlichen 90-Tage-Frist stattfindet, gibt es einen Bonus von bis zu 14 Tagen. Dann werden die Details zur Sicherheitslücke weiter geheimgehalten. Nur sehr außergewöhnliche Umstände sollen hier noch eine weitere Verschiebung ermöglichen. Wie diese aussehen, verrät Google nicht.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Sonderbehandlungen soll es für einzelne Hersteller nicht geben. Google bleibt dabei, dass diese Fristen für alle Hersteller von Software gleich bleiben. Das heißt, Google berücksichtigt beispielsweise nicht den Marktanteil einer von Sicherheitslücken betroffenen Software und hält so weiter den Druck aufrecht. Die Regel soll auch für eigene Produkte gelten, wie Google angibt.

In der Regel reicht die 90-Tage-Frist für die Beseitigung von Sicherheitslücken. So hat es Adobe laut Project Zero geschafft, alle 37 gemeldeten Sicherheitslücken innerhalb dieser Frist zu beseitigen. Wenn die Lücken also korrekt gemeldet werden, ist Adobe zuverlässig dabei, seine Flash-Plattform zu sichern. Problematisch sind bei Adobe allerdings die in den letzten Wochen durch Kriminelle zuerst entdeckten Sicherheitslücken, auf die auch Adobe nur hastig reagieren kann. Die Sicherheitslücken müssen dann mitunter über mehrere Tage hingenommen werden. Anwender von Adobes Flash wurden dieses Jahr bereits drei Mal von solchen Sicherheitslücken überrascht, die außerhalb eines Patchtages abgesichert werden mussten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 7,99€
  2. (u. a. Edna & Harvey: The Breakout - Anniversary Edition für 6,99€, The Daedalic Armageddon...
  3. für PC, PS4/PS5, Xbox und Switch
  4. 2,49€

heubergen 18. Sep 2015

Es ist schlimmer, bei Apple weiss es wenigstens jeder zum vorherein. Google aber tut...

__destruct() 16. Feb 2015

Interessiert nicht. In der aktuellen Software ist der Fehler nicht drin.

Sea 16. Feb 2015

So ein blödsinn da. Das ist echt Googlebashing auf unterstem Niveau. Irgendeinen Mist...

Dwalinn 16. Feb 2015

Es heißt bis zu 14 Tage. Wenn also die 90 Tage an einen Donnerstag auslaufen hat...

Lala Satalin... 15. Feb 2015

Mein erster Gedanke war tatsächlich der, der im Artikel steht. Wenn man die Vorgeschichte...


Folgen Sie uns
       


Peloton - Fazit

Im Video stellt Golem.de-Redakteur Peter Steinlechner das Bike+ von Peloton vor. Mit dem Spinning-Rad können Sportler fast schon ein eigenes Fitnessstudio in ihrer Wohnung einrichten.

Peloton - Fazit Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /